Sanzione di 50.000 euro a una nota azienda di abbigliamento che utilizzava impianti di videosorveglianza (VDS) non a “norma privacy” in tutti i suoi punti vendita.
L’indagine del Garante è partita a seguito della segnalazione di un sindacato che lamentava il trattamento illecito di dati personali attraverso sistemi di videosorveglianza in diversi punti vendita della società. Sebbene quest’ultima abbia dichiarato agli ispettori del Garante l’adozione di particolari misure tecniche e organizzative (tra le quali: policy in materia di videosorveglianza, audit privacy presso tutti punti vendita, check-list per la verifica delle conformità VDS, informative VDS ai dipendenti, designazione del personale autorizzato, protezione di accesso al videoregistratore con doppia password e assenza di collegamenti da remoto) l’Autorità ha accertato che si sono svolti trattamenti in modo difforme da quanto previsto dall’ordinamento.
In particolare, è stata rilevata la mancata attivazione della procedura di garanzia prevista dall’art. 4 L. 300/1970.
Come più volte affermato, l’attivazione della predetta procedura non integra una mera formalità né può qualificarsi, come invece sostenuto dalla Società, quale semplice “mancanza di alcuni aspetti documentali”. Il rispetto della procedura prevista dall’art. 4, come sottolineato dalla giurisprudenza, “tutela interessi di carattere collettivo e super individuale”; pertanto, nel caso in cui il datore di lavoro non la attivi, la sua condotta lederà gli interessi collettivi a presidio dei quali è posta (Cassazione, Sez. III pen., 17.12.2019, n. 50919).
Solo attraverso tale procedura (quindi, attraverso le rappresentanze sindacali o l’Ispettorato del Lavoro) potrà essere correttamente valutata l’idoneità del trattamento.
La presentazione d’informative ai dipendenti non è una condizione sufficiente (seppur necessaria) a legittimare il trattamento con dispositivi di videosorveglianza. A tal fine, è utile precisare che non importa quali siano le zone sottoposte a videosorveglianza, se solo “zone di passaggio” o di “non attività lavorativa”, infatti, il Garante ha costantemente ribadito che anche le aree in cui transitano o sostano i dipendenti sono soggette alla piena applicazione della disciplina in materia di protezione dei dati personali. Oltre a tale mancanza di liceità nei trattamenti, gli ispettori hanno riscontrato violazioni anche nell’ambito del tempo di conservazione delle immagini che, per alcune telecamere, andava ben oltre i tempi dichiarati nella documentazione presentata.
A conclusione dell’istruttoria e dal confronto con la documentazione prodotta dalla società, è emerso che in molteplici punti vendita le attività di trattamento con sistemi di videosorveglianza sono state “quantomeno confuse, non rigorose né puntuali (…) a dimostrazione di una gestione complessivamente non adeguata” (nonostante la presenza di procedure). Per la violazione delle predette disposizioni è stato ingiunto alla società il pagamento di una sanzione amministrativa pari a 50.000 euro, oltre la pubblicazione del Provvedimento sanzionatorio sul sito web del Garante.
In ultimo, si richiama un importante chiarimento contenuto nel documento del Garante: la società, per alcuni punti vendita, ha dichiarato di ritenere “sanata” la situazione attraverso il pagamento di sanzioni irrogate dai singoli ispettorati territoriali del lavoro. L’Autorità, su questo punto, ricorda che i poteri riconosciuti dall’ordinamento si aggiungono (e non sostituiscono né vengono meno rispetto) ai poteri propri dell’Ispettorato del lavoro. Gli ambiti di operatività delle due discipline (artt. 4 L. 300/1970 e 114 del Codice), seppur collegati, restano autonomi.
Autore: Luca Leoni – Sistema Ratio Centro Studi Castelli
